Interne kontroller og risikostyring i forbindelse med regnskabsaflæggelsesprocessen - 2020
Overordnet kontrolmiljø
Bestyrelsen og direktionen har det overordnede ansvar for virksomhedens risikostyring og interne kontrol i forbindelse med regnskabsaflæggelsesprocessen, herunder overholdelsen af relevant lovgivning og anden regulering i relation til regnskabsaflæggelsen.
Bestyrelsen og direktionen finder, at deres egen holdning til god risikostyring og intern kontrol i forbindelse med regnskabsaflæggelsesprocesser er bærende for virksomhedens holdning og den indskærpes derfor til stadighed.
Virksomhedens risikostyring og interne kontroller i forbindelse med regnskabsaflæggelsesprocessen inkl. bl.a. it og skat er designet med henblik på effektivt at styre forretningen og aktiviteterne snarere end at eliminere risikoen for fejl og mangler i forbindelse med regnskabsaflæggelsen, og kan alene skabe rimelig, men ikke absolut sikkerhed for, at uretmæssig brug af aktiver, tab og/eller væsentlige fejl og mangler i forbindelse med regnskabsaflæggelsen undgås.
Risikovurdering
Bestyrelsen og direktionen foretager mindst årligt en overordnet risikovurdering af risici og vurderer løbende væsentlige risici og interne kontroller i forbindelse med virksomhedens aktiviteter og deres eventuelle indflydelse på regnskabsaflæggelsesprocessen. Beslutninger om tiltag med henblik på reduktion og/eller eliminering af risici baseres på en vurdering af væsentlighed sammenholdt med de derved forbundne omkostninger.
Bestyrelsen og direktionen tager som led i risikovurderingen årligt stilling til risikoen for besvigelser og til de foranstaltninger, der skal tages med henblik på at reducere og/eller eliminere risiko for dette. Herunder vurderer bestyrelsen den daglige ledelses mulighed for at tilsidesætte kontroller og for at udøve upassende indflydelse på regnskabsaflæggelsen.
Direktionen overvåger løbende overholdelsen af relevant lovgivning og andre forskrifter og bestemmelser i forbindelse med regnskabsaflæggelsen og rapporterer løbende herom til bestyrelsen.
Kontrolaktiviteter
Bestyrelsen og direktionen fastlægger overordnede retningslinjer, procedurer og kontroller på væsentlige områder i forbindelse med regnskabsaflæggelsesprocessen. Grundlaget herfor er en klar organisationsstruktur, klare rapporteringslinjer, autorisations- og attestationsprocedurer samt personadskillelse (”the four-eye principle”).
Virksomheden har retningslinjer inden for væsentlige områder i forbindelse med regnskabsaflæggelsen, herunder valutadispositioner, skat og it-risiko samt til den eksterne finansielle rapportering i overensstemmelse med lovgivningen og forskrifterne herfor.
Koncernen har en formel rapporteringsproces, der omfatter budgetrapportering og månedlig rapportering inkl. afvigelsesrapporter med månedlig/kvartalsvis ajourføring af skøn for årets resultater.
Kontrolaktiviteterne tager udgangspunkt i risikovurderingen. Målet med virksomhedens kontrolaktiviteter er at sikre, at de af ledelsen udstukne mål, retningslinjer, manualer, procedurer m.v. opfyldes, samt rettidigt at forebygge, opdage og rette eventuelle fejl, afvigelser, mangler m.v.
Kontrolaktiviteterne omfatter manuelle og fysiske kontroller samt generelle it-kontroller og automatiske applikationskontroller i de anvendte it-systemer m.v.
Information og kommunikation
Virksomhedens væsentligste risici og interne kontroller i forbindelse med regnskabsaflæggelsesprocessen, bestyrelsens holdning hertil og de iværksatte tiltag i forbindelse hermed kommunikeres løbende internt i virksomheden til de berørte medarbejdere.
Bestyrelse og direktion lægger vægt på, at den enkelte medarbejder til stadighed, rettidigt har relevante informationer til rådighed til at kunne udføre opgaverne.
Informationssystemerne indrettes med henblik på, at der under hensyntagen til den for børsnoterede selskaber foreskrevne fortrolighed, løbende på relevant niveau identificeres, opsamles og kommunikeres relevant information, rapporter m.v., som gør det muligt for den enkelte effektivt og pålideligt at udføre opgaverne og at udføre de aftalte kontroller. Målet hermed er, at virksomheden til stadighed kan kontrollere udførelsen af aktiviteterne og rapportere troværdigt med henblik på effektivt at styre virksomheden operationelt, finansielt og i overensstemmelse med gældende lovgivning. Informationssystemet skal gøre det muligt at udføre og dokumentere kontroller effektivt og hensigtsmæssigt.
Monitorering
Ethvert risikostyrings- og internt kontrolsystem skal løbende overvåges, kontrolleres og kvalitetssikres for at sikre, at det er effektivt. Overvågningen sker ved regelmæssigt at gennemføre vurderinger og kontrol på alle niveauer i virksomheden. Omfanget og hyppigheden af de periodiske vurderinger afhænger primært af risikovurderingen herfor og effektiviteten af de løbende kontroller.
Koncernen har implementeret et rapporteringssystem for interne finansielle kontroller som vurderes på modenhed per rapporteringsenhed.
Der er minimumskrav til forsvarlig sikring af aktiver samt til nøglekontroller og regnskabsanalytisk gennemgang, herunder løbende vurdering af performance og opfyldelsen af vedtagne mål.
Der gennemføres systematiske eftersyn i butikker og udvalgte datterselskaber med henblik på at kontrollere, at processer overholdes.
Bestyrelsen overvåger, at direktionen reagerer effektivt på eventuelle svagheder og/eller mangler, samt at aftalte tiltag i relation til styrkelse af risikostyring og interne kontroller i relation til regnskabsaflæggelsesprocessen implementeres som planlagt. Direktionen følger op på implementeringen af tiltag til afhjælpning af konstaterede svagheder samt på forhold, der er omtalt i Management Letters m.v.